Configuration de l'authentification Windows pour les instances de base SQL de données du serveur - Amazon Relational Database Service
Étape 1 : créer un répertoire à l'aide du AWS Directory Service for Microsoft Active DirectoryÉtape 2 : créer le IAM rôle à utiliser par Amazon RDSÉtape 3 : Créer et configurer des utilisateurs et des groupesÉtape 4 : activer le VPC trafic croiséÉtape 5 : créer ou modifier une instance de base de données de SQL serveurÉtape 6 : créer des connexions au SQL serveur d'authentification Windows

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de l'authentification Windows pour les instances de base SQL de données du serveur

Vous utilisez AWS Directory Service for Microsoft Active Directory, également appelé AWS Managed Microsoft AD, pour configurer l'authentification Windows pour une instance de base de données de SQL serveur. Pour configurer l'authentification Windows, procédez comme suit.

Étape 1 : créer un répertoire à l'aide du AWS Directory Service for Microsoft Active Directory

AWS Directory Service crée un Microsoft Active Directory entièrement géré dans le AWS cloud. Lorsque vous créez un AWS Managed Microsoft AD annuaire, il AWS Directory Service crée deux contrôleurs de domaine et deux serveurs Domain Name Service (DNS) en votre nom. Les serveurs d'annuaire sont créés dans deux sous-réseaux situés dans deux zones de disponibilité différentes au sein d'unVPC. Cette redondance permet de s'assurer que votre répertoire reste accessible y compris en cas de défaillance.

Lorsque vous créez un AWS Managed Microsoft AD répertoire, il AWS Directory Service exécute les tâches suivantes en votre nom :

  • Configure un Microsoft Active Directory dans leVPC.

  • Création d'un compte d'administrateur d'annuaire avec le nom d'utilisateur Admin et le mot de passe spécifié. Ce compte est utilisé pour gérer votre annuaire.

  • Création d'un groupe de sécurité pour les contrôleurs de l'annuaire.

Lorsque vous lancez un AWS Directory Service for Microsoft Active Directory, AWS crée une unité organisationnelle (UO) qui contient tous les objets de votre répertoire. Cette unité d'organisation, qui porte le BIOS nom réseau que vous avez saisi lors de la création de votre répertoire, se trouve dans la racine du domaine. La racine du domaine est détenue et gérée par AWS.

Le compte admin qui a été créé avec votre annuaire AWS Managed Microsoft AD dispose des autorisations pour les activités administratives les plus courantes pour votre unité d'organisation :

  • Créer, mettre à jour ou supprimer des utilisateurs, des groupes et des ordinateurs

  • Ajouter des ressources à votre domaine, comme des serveurs de fichiers ou d'impression, puis attribuer des autorisations pour ces ressources aux utilisateurs et groupes dans votre unité d'organisation.

  • Créez des conteneurs OUs et des conteneurs supplémentaires.

  • Déléguer des autorités.

  • Créer et associer des stratégies de groupes.

  • Restaurer des objets supprimés de la corbeille Active Directory.

  • Exécutez les PowerShell modules AD et DNS Windows sur le service Web Active Directory.

Le compte admin dispose également de droits pour exécuter les activités suivantes au niveau du domaine :

  • Gérez les DNS configurations (ajoutez, supprimez ou mettez à jour des enregistrements, des zones et des redirecteurs).

  • Afficher les journaux d'DNSévénements.

  • Afficher les journaux d'événements de sécurité.

Pour créer un répertoire avec AWS Managed Microsoft AD

  1. Dans le panneau de navigation de la console AWS Directory Service, choisissez Annuaires, puis Configurer un annuaire.

  2. Choisissez AWS Managed Microsoft AD. Il s'agit de la seule option actuellement prise en charge pour une utilisation avec AmazonRDS.

  3. Choisissez Suivant.

  4. Sur la page Enter directory information (Saisir les détails du répertoire), renseignez les informations suivantes :

    Edition

    Choisissez l'édition qui correspond à vos besoins.

    DNSNom du répertoire

    Nom complet de l'annuaire, par exemple corp.example.com. Les noms de plus de 47 caractères ne sont pas pris en charge par le SQL serveur.

    BIOSNom du réseau du répertoire

    Nom court facultatif pour l'annuaire, par exemple CORP.

    Description de l'annuaire

    Description facultative de l'annuaire.

    Mot de passe administrateur

    Mot de passe de l'administrateur de l'annuaire. Le processus de création d'un annuaire crée un compte d'administrateur avec le nom d'utilisateur Admin et ce mot de passe.

    Le mot de passe de l'administrateur de l'annuaire ne peut pas inclure le terme admin. Le mot de passe est sensible à la casse et doit comporter entre 8 et 64 caractères. Il doit également contenir au moins un caractère de trois des quatre catégories suivantes :

    • Lettres minuscules (a-z)

    • Lettres majuscules (A-Z)

    • Chiffres (0-9)

    • Caractères non alphanumériques (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

    Confirmer le mot de passe

    Saisissez à nouveau le mot de passe de l'administrateur.

  5. Choisissez Suivant.

  6. Sur la page Choisir VPC et sous-réseaux, fournissez les informations suivantes :

    VPC

    Choisissez le VPC pour le répertoire.

    Note

    Vous pouvez localiser le répertoire et l'instance de base de données différemmentVPCs, mais si c'est le cas, assurez-vous d'activer le VPC trafic croisé. Pour de plus amples informations, veuillez consulter Étape 4 : activer le VPC trafic croisé entre l'annuaire et l'instance de base de données.

    Sous-réseaux

    Choisissez les sous-réseaux pour les serveurs d'annuaires. Les deux sous-réseaux doivent être dans des zones de disponibilité différentes.

  7. Choisissez Suivant.

  8. Vérifiez les informations de l'annuaire. Si vous devez apporter des modifications, choisissez Previous (Précédent). Lorsque les informations sont correctes, choisissez Create directory (Créer l'annuaire).

    Vérification et création de la page

La création de l'annuaire prend plusieurs minutes. Lorsqu'il est créé, la valeur du champ Statut devient Actif.

Pour consulter les informations relatives à votre annuaire, choisissez l'ID de l'annuaire dans la liste. Notez la valeur de ID de l'annuaire. Vous avez besoin de cette valeur lorsque vous créez ou modifiez votre instance de base de données de SQL serveur.

Page de détails de l'annuaire

Étape 2 : créer le IAM rôle à utiliser par Amazon RDS

Si vous utilisez la console pour créer votre instance de base de données de SQL serveur, vous pouvez ignorer cette étape. Si vous utilisez le CLI ou RDS API pour créer votre instance de base de données de SQL serveur, vous devez créer un IAM rôle qui utilise la IAM politique AmazonRDSDirectoryServiceAccess gérée. Ce rôle permet RDS à Amazon de passer des appels AWS Directory Service pour vous.

Si vous utilisez une politique personnalisée pour rejoindre un domaine, au lieu d'utiliser la AmazonRDSDirectoryServiceAccess politique AWS-managed, assurez-vous d'autoriser l'ds:GetAuthorizedApplicationDetailsaction. Cette exigence entre en vigueur à partir de juillet 2019, en raison d'une modification du AWS Directory Service API.

La IAM politique suivanteAmazonRDSDirectoryServiceAccess, donne accès à AWS Directory Service.

Exemple IAMpolitique de fourniture d'accès à AWS Directory Service
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
            "ds:DescribeDirectories", 
            "ds:AuthorizeApplication", 
            "ds:UnauthorizeApplication",
            "ds:GetAuthorizedApplicationDetails"
        ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Nous vous recommandons d'utiliser les clés de contexte de condition globale aws:SourceArn et aws:SourceAccount dans des relations d'approbation basées sur les ressources pour limiter les autorisations du service à une ressource spécifique. C'est le moyen le plus efficace de se protéger contre le problème du député confus.

Vous pouvez utiliser les deux clés de contexte de condition globale et faire en sorte que la valeur aws:SourceArn contienne l'ID de compte. Dans ce cas, la valeur aws:SourceAccount et le compte dans la valeur aws:SourceArn doivent utiliser le même ID de compte lorsqu'ils sont utilisés dans la même instruction.

  • Utilisez aws:SourceArn si vous souhaitez un accès interservices pour une seule ressource.

  • Utilisez aws:SourceAccount si vous souhaitez autoriser une ressource de ce compte à être associée à l'utilisation interservices.

Dans la relation de confiance, veillez à utiliser la clé de contexte de condition aws:SourceArn globale avec le nom complet de la ressource Amazon (ARN) des ressources accédant au rôle. Pour l'authentification Windows, veillez à inclure les instances de base de données, comme illustré dans l'exemple suivant.

Exemple relation d'approbation avec la clé de contexte de condition globale pour l'authentification Windows
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "rds.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": [
                        "arn:aws:rds:Region:my_account_ID:db:db_instance_identifier"
                    ]
                }
            }
        }
    ]
}

Créez un IAM rôle en utilisant cette IAM politique et cette relation de confiance. Pour plus d'informations sur la création de IAM rôles, consultez la section Création de politiques gérées par le client dans le Guide de IAM l'utilisateur.

Étape 3 : Créer et configurer des utilisateurs et des groupes

Vous pouvez créer des utilisateurs et des groupes avec l'outil Utilisateurs et ordinateurs Active Directory. Cet outil fait partie des outils Services AD DS (Active Directory Domain Services) et Services AD LDS (Active Directory Lightweight Directory Services). Les utilisateurs représentent des individus ou des entités individuelles qui ont accès à votre annuaire. Les groupes sont très utiles pour octroyer ou refuser des privilèges à des groupes d'utilisateurs, plutôt que d'appliquer ces privilèges à chaque utilisateur.

Pour créer des utilisateurs et des groupes dans un AWS Directory Service annuaire, vous devez être connecté à une EC2 instance Windows membre de l' AWS Directory Service annuaire. Vous devez également être connecté en tant qu'utilisateur disposant de privilèges pour créer des utilisateurs et des groupes. Pour plus d'informations, consultez la section Ajouter des utilisateurs et des groupes (Simple AD et AWS Managed Microsoft AD) dans le Guide d'AWS Directory Service administration.

Étape 4 : activer le VPC trafic croisé entre l'annuaire et l'instance de base de données

Si vous prévoyez de localiser le répertoire et l'instance de base de données dans le même répertoireVPC, ignorez cette étape et passez àÉtape 5 : créer ou modifier une instance de base de données de SQL serveur.

Si vous prévoyez de placer le répertoire et l'instance de base de données différemmentVPCs, configurez le VPC trafic croisé à l'aide du VPC peering ou de AWS Transit Gateway.

La procédure suivante active le trafic entre les utilisateurs VPCs du VPC peering. Suivez les instructions de la section Qu'est-ce que le VPC peering ? dans le guide de peering d'Amazon Virtual Private Cloud.

Pour activer le VPC trafic croisé à l'aide du VPC peering

  1. Définissez des règles de VPC routage appropriées pour garantir que le trafic réseau peut circuler dans les deux sens.

  2. Assurez-vous que le groupe de sécurité de l'instance de base de données puisse recevoir le trafic entrant depuis le groupe de sécurité de cet annuaire.

  3. Assurez-vous qu'aucune règle de liste de contrôle d'accès au réseau (ACL) ne bloque le trafic.

Si le répertoire appartient à un autre AWS compte, vous devez le partager.

Pour partager le répertoire entre AWS comptes

  1. Commencez à partager le répertoire avec le AWS compte dans lequel l'instance de base de données sera créée en suivant les instructions du Tutoriel : Partage de votre AWS Managed Microsoft AD répertoire pour une jonction de EC2 domaine fluide dans le Guide d'AWS Directory Service administration.

  2. Connectez-vous à la AWS Directory Service console à l'aide du compte de l'instance de base de données et assurez-vous que le domaine possède le SHARED statut requis avant de continuer.

  3. Lorsque vous êtes connecté à la AWS Directory Service console à l'aide du compte de l'instance de base de données, notez la valeur de l'ID du répertoire. Vous utilisez cet ID pour joindre l'instance de base de données au domaine.

Étape 5 : créer ou modifier une instance de base de données de SQL serveur

Créez ou modifiez une instance de base de données de SQL serveur à utiliser avec votre annuaire. Vous pouvez utiliser la console ou associer une instance RDS API de base de données à un répertoire. CLI Vous pouvez effectuer cette opération de différentes manières :

L'authentification Windows n'est prise en charge que pour les instances de base de données de SQL serveur dans unVPC.

Pour que l'instance de base de données puisse utiliser l'annuaire de domaine que vous avez créé, les éléments suivants sont nécessaires :

  • Pour Annuaire, vous devez choisir l'identifiant du domaine (d-ID) généré lors de la création de l'annuaire.

  • Assurez-vous que le groupe de VPC sécurité dispose d'une règle sortante qui permet à l'instance de base de données de communiquer avec l'annuaire.

Répertoire d'authentification Microsoft SQL Server Windows

Lorsque vous utilisez le AWS CLI, les paramètres suivants sont requis pour que l'instance de base de données puisse utiliser le répertoire que vous avez créé :

  • Pour le paramètre --domain, vous devez indiquer l'identifiant du domaine (d-ID) généré lors de la création de l'annuaire.

  • Pour le --domain-iam-role-name paramètre, utilisez le rôle que vous avez créé qui utilise la IAM politique géréeAmazonRDSDirectoryServiceAccess.

Par exemple, la CLI commande suivante modifie une instance de base de données pour utiliser un répertoire.

Dans Linux, macOS, ou Unix:

aws rds modify-db-instance \
    --db-instance-identifier mydbinstance \
    --domain d-ID \
    --domain-iam-role-name role-name

Dans Windows:

aws rds modify-db-instance ^
    --db-instance-identifier mydbinstance ^
    --domain d-ID ^
    --domain-iam-role-name role-name
Important

Si vous modifiez une instance de base de données de façon à activer l'authentification Kerberos, redémarrez l'instance de base de données après avoir effectué la modification.

Étape 6 : créer des connexions au SQL serveur d'authentification Windows

Utilisez les informations d'identification de l'utilisateur RDS principal Amazon pour vous connecter à l'instance de base de données SQL du serveur comme vous le feriez pour toute autre instance de base de données. Comme l'instance de base de données est jointe au AWS Managed Microsoft AD domaine, vous pouvez configurer les connexions et les utilisateurs SQL du serveur. Vous effectuez cette opération à partir des utilisateurs et groupes Active Directory de votre domaine. Les autorisations de base de données sont gérées par le biais d'autorisations de SQL serveur standard accordées et révoquées à ces connexions Windows.

Pour qu'un utilisateur Active Directory puisse s'authentifier auprès de SQL SQL Server, un identifiant Windows Server doit exister pour l'utilisateur ou un groupe dont il est membre. Le contrôle d'accès précis est géré par l'octroi et la révocation d'autorisations sur ces SQL connexions au serveur. Un utilisateur qui n'a pas de connexion au SQL serveur ou qui appartient à un groupe avec un tel identifiant ne peut pas accéder à l'instance de base de données SQL du serveur.

L'ALTERANYLOGINautorisation est requise pour créer une connexion au SQL serveur Active Directory. Si vous n'avez créé aucune connexion avec cette autorisation, connectez-vous en tant qu'utilisateur principal de l'instance de base de données à l'aide de l'authentification SQL du serveur.

Exécutez une commande data definition language (DDL) telle que l'exemple suivant pour créer une connexion au SQL serveur pour un utilisateur ou un groupe Active Directory.

Note

Spécifiez les utilisateurs et les groupes à l'aide du nom de connexion antérieur à Windows 2000 au format domainName\login_name. Vous ne pouvez pas utiliser un nom d'utilisateur principal (UPN) dans le format nom_connexion@DomainName.

Vous ne pouvez créer une connexion d'authentification Windows sur une instance de SQL serveur RDS for qu'à l'aide SQL des instructions T-. Vous ne pouvez pas utiliser le studio SQL Server Management pour créer un identifiant d'authentification Windows.

USE [master]
GO
CREATE LOGIN [mydomain\myuser] FROM WINDOWS WITH DEFAULT_DATABASE = [master], DEFAULT_LANGUAGE = [us_english];
GO

Pour plus d'informations, consultez CREATELOGIN(Transact-SQL) dans la documentation de Microsoft Developer Network.

Les utilisateurs (humains et applications) de votre domaine peuvent désormais se connecter à l'instance RDS for SQL Server à partir d'un ordinateur client joint au domaine à l'aide de l'authentification Windows.